+- Forum Pplware (http://forum.pplware.com)
+-- Fórum: Pplware (/forumdisplay.php?fid=1)
+--- Fórum: Últimas (/forumdisplay.php?fid=36)
+--- Tópico: Entrámos numa base de dados da Segurança Social (/showthread.php?tid=11529)
Entrámos numa base de dados da Segurança Social - progster - 05-05-2012 12:12
Uma técnica simples permitiu-nos aceder a uma base onde estão armazenadas informações sobre os beneficiários da Segurança Social. A página foi removida depois do alerta da Exame Informática.
Uma técnica simples permitiu-nos aceder a uma base onde estão armazenadas informações sobre os beneficiários da Segurança Social. A página foi removida depois do alerta da Exame Informática.
H0rd0n é o nome de código de um estudante português, que tem por passatempo verificar a segurança de sites pertencentes a organismos importantes. H0rd0n, que admite ser um ex-membro de um grupo de hackers portugueses, descobriu uma vulnerabilidade no site da Segurança Social, mais propriamente numa base de dados alojada em http://www.seg-social.pt/consultas/justica/login.asp. Nesta página, uma técnica de injeção de comandos SQL, muito conhecida dos hackers, permitia entrar na base de dados e fazer pesquisas através do nome do beneficiário. Fizemos o teste com informação que nos foi enviada por H0rd0n e verificámos que, de facto, era muito fácil entrar na referida base de dados.
Fizemos pesquisas usando os nomes dos jornalistas da Exame Informática e obtivemos como resultado as datas de nascimento e as moradas, embora algumas delas estão muito desatualizadas.
A Exame Informática entrou em contacto com o Instituto de Informática da Segurança Social ao final da manhã para pedir esclarecimentos, indicando a falha identificada. A página em questão foi removida há cerca de três horas.
De acordo Miguel Alexandre Marques, Secretário do Conselho Diretivo do Instituto de Informática da Segurança Social, a «página web em causa foi disponibilizada em 2001 para dar resposta a uma situação específica e transitória, de forma a permitir aos Tribunais a validação de moradas usadas nas citações judiciais devolvidas por erro na morada, sendo esse um processo completamente autónomo do Sistema de Informação da Segurança Social.»
O mesmo responsável garante ainda que a vulnerabilidade detetada não afeta minimamente as bases de dados do Sistema de Informação da Segurança Social.
Considerando todas estas informações, somos levados a concluir que a referida base de dados de moradas esteve vulnerável desde 2001, altura em que deveria estar perfeitamente atualizada.
Fonte:http://exameinformatica.sapo.pt/noticias/internet/2012/05/04/entramos-numa-base-de-dados-da-seguranca-social#ixzz1tzbbrMtb
Ai se o "programador" lê isto...
